CCNA3 – Conmutación y conexión inalámbrica de LAN

CAPITULO 2

• CSMA/CD ≡ Carrier Sense Multiple Access/Collision Detect.

o Detección de portadora: Todos los dispositivos de red que tienen mensajes para
enviar deben escuchar antes de transmitir.

o Acceso múltiple: Si la distancia entre los dispositivos es tal que la latencia de las
señales de un dispositivo supone la no detección de éstas por parte de un segundo
dispositivo, éste también podría comenzar a transmitirla.

o Detección de colisiones: Cuando se produce una colisión TODO el mundo

detecta un aumento en el nivel de señal. Todos los dispositivos que estén
transmitiendo en ese momento lo seguirán haciendo para garantizar que todos los
dispositivos en la red puedan detectar la colisión.

o Señal de congestión y postergación aleatoria.

o Una vez que finaliza el retardo asignado a un dispositivo, dicho dispositivo regresa
al modo "escuchar antes de transmitir".

o Comunicaciones Ethernet.

• Las comunicaciones en una red LAN conmutada se producen de tres maneras:

o Unicast.
o Broadcast. Por ejemplo: consulta de resolución de direcciones que envía el
protocolo de resolución de direcciones.
o Multicast. Se envía una trama a un grupo específico de dispositivos o
clientes. Los clientes de la transmisión multicast deben ser miembros de un
grupo multicast lógico.

o Trama Ethernet:

o Preámbulo y Delimitador de inicio de trama (SFD) (1 byte) se utilizan

para la sincronización entre los dispositivos emisores y receptores.
o Campo Longitud/Tipo: Longitud exacta del campo Datos de la trama y
como parte de la Secuencia de verificación de trama (FCS, Frame Check
Sequence). Si > 1536, codifica el tipo de datos. Si no, codifica la longitud
de los datos de la trama.
o Campos Datos y Relleno: Información encapsulada de una capa superior,
que es una PDU de Capa 3 genérica.

o Campo Secuencia de verificación de trama: CRC, cyclic redundancy

check.
CCNA3 – Conmutación y conexión inalámbrica de LAN

o Dirección MAC:

o 48 bits.
o Compuesta de:
• OUI (Organizational Unique Identifier):
o Bit de Broadcast.
o Local (especifica si se permite o no modificar la
dirección MAC).
o Nº de OUI: Identifica al Fabricante.
• Número de asignación del fabricante

• Configuración de Dúplex

o Half Duplex (CSMA/CD).

• Flujo de datos unidireccional.
• Alto potencial para las colisiones.
• Conectividad de hub.

o Full dúplex:
• Sólo punto a punto.
• Conectado a puerto de switch dedicado.
• Requiere soporte para full-duplex en ambos extremos.
• Sin colisiones.
• Circuito de detección de colisiones deshabilitado.

o Los puertos de switch de la serie Cisco CAtalyst 2960 pueden configurarse de 3

maneras:

• Auto: permite que los 2 puertos se comuniquen para decidir el modo.

• Full: establece el modo full-duplex.
• Half: establece el modo half-duplex.

• Auto-MDIX: Detecta si el cable es directo o cruzado y se auto

reconfigura adaptándose a él.

• Direccionamiento MAC y Tablas de direcciones MAC de los switches.

o Cuando un switch recibe una trama de datos entrantes y la dirección MAC de

destino no figura en la tabla, éste reenvía la trama a todos los puertos excepto
al que la recibió en primer lugar. Cuando el nodo de destino responde, el switch
registra la dirección MAC de éste en la tabla de direcciones del campo dirección
de origen de la trama. La tabla de direcciones MAC fue previamente definida
como memoria de contenido direccionable (CAM, Content Addressable Memory)
o tabla CAM.

• Ancho de banda y rendimiento.

CCNA3 – Conmutación y conexión inalámbrica de LAN

• Dominios de colisiones: Por ejemplo: si un switch de 12 puertos tiene un

dispositivo conectado a cada puerto, se crean 12 dominios de colisión.

• Dominios de broadcast: Una serie de switches interconectados forma un dominio de

broadcast simple. Sólo una entidad de Capa 3, como un router o una LAN virtual
(VLAN), puede detener un dominio de broadcast de Capa 3.

• Latencia de red. Depende de al menos tres factores:

o El tiempo que le toma a la NIC de origen aplicar pulsos de voltaje en el cable y

el tiempo que le toma a la NIC de destino interpretar estos pulsos.
o El retardo de propagación real por el cable.
o La latencia aumenta según los dispositivos de red que se encuentren en la ruta
entre dos dispositivos.

• Congestión de la red: Causas más comunes:

o Tecnología de redes y computadoras cada vez más potentes.

o Volumen de tráfico de la red cada vez mayor.
o Aplicaciones con alta demanda de ancho de banda.

• Segmentación de las LAN.

o Cada router reduce el tamaño del dominio de broadcast en la LAN.

o Cada switch reduce el tamaño del dominio de colisión de la LAN a un único
enlace.

• Consideraciones del diseño de la LAN.

o Control de la latencia de la red.

o Eliminación de los cuellos de botella.

• Métodos de reenvío de paquetes del switch:

o Almacenamiento y reenvio: Un switch de almacenamiento y envio recibe toda la

trama, calcula la CRC y verifica la longitud de la trama. Si la CRC y la longitud de
la trama son válidas, el switch busca la dirección de destino, la cual dtermina la
interfaz de salida. Entonces, se envía la trama por el puerto correcto.

o Método de corte: El switch que utiliza el método de corte envía la trama antes de
recibirla en su totalidad. Como mínimo, la dirección de destino de la trama
debe leerse antes de que la trama pueda enviarse.

• Conmutación simétrica o asimétrica. Asimétrica es que no todos los puertos del

switch trabajan a la misma velocidad porque están conectados a dispositivos de
CCNA3 – Conmutación y conexión inalámbrica de LAN

distintas velocidades. Simétrica es que todos los puertos trabajan a la misma

velocidad aunque los dispositivos con los que se conectan sean capaces de transmitir
a distintas velocidades.

• Bufferes de memoria:

o Memoria basada en puerto.

o Memoria compartida

• Conmutación capa 2 y capa 3. Los switches capa 3, en vez de utilizar solo la

información de las direcciones MAC para determinar envíos, emplea las direcciones IP
e la capa 3, por lo que es capaz de vincular interfaces con direcciones IP. Además, los
switches capa 3 tienen capacidades de enrutar.

• Diferencias Switch Capa 3 y Router.

*WIC = Wan Interface Card.

CCNA3 – Conmutación y conexión inalámbrica de LAN

• Alternativas a la CLI basadas en la GUI:

o Asistente de red Cisco

o Aplicación CiscoView
o Administrador de dispositivos Cisco
o Administración de red SNMP (mas frecuente en las grandes empresas).

• Búfer de historial de comandos: swich# show history

• Configuración del búfer de historial de comandos:

• Descripción de la secuencia de arranque de un Switch:

o El switch carga el software cargador de arranque de NVRAM.

o El cargador de arranque:

Realiza la inicialización de la CPU a bajo nivel.

Realiza el POST para el subsistema de la CPU.

Inicializa el sistema de archivos flash en la placa del sistema.

Carga una imagen predeterminada de software de sistema operativo en la
memoria y arranca el switch.

• El sistema operativo se ejecuta utilizando el archivo config.text, guardado en el

almacenamiento flash del switch.

• El cargador de arranque puede ser de utilidad en la recuperación en caso de un

colapso del sistema operativo:

o Proporciona acceso al switch si el sistema operativo tiene problemas lo

suficientemente graves como para quedar inutilizable.
o Proporciona acceso a los archivos almacenados en flash antes de que se cargue
el sistema operativo.
o Utilice la línea de comandos del cargador de arranque para las operaciones de
recuperación.
CCNA3 – Conmutación y conexión inalámbrica de LAN

• Configuración de la interfaz de administración del switch.

• Configuración del Gateway predeterminado.

• Verificación de la configuración:

o S1# show running config

o S1# show interface brief

• Configurar Duplex y la velocidad:

o S1 # configure terminal
o S1(config) #Interface fastethernet 0/1
o S1(config-if) # duplex auto
o S1(config-if) # speed auto
o S1(config-if) # end
o S1 # copy running-config startup-config

• Es posible cambiar el valor del tiempo de expiración de las direcciones MAC. El tiempo
predeterminado es de 300 segundos.
CCNA3 – Conmutación y conexión inalámbrica de LAN

• Las direcciones estáticas no expiran y el switch siempre sabe a qué puerto enviar
el tráfico destinado a esa dirección MAC en particular. Un administrador de red puede
asignar direcciones MAC estáticas (no expiran) a determinados puertos de manera
específica:

o Para crear una asignación estática: mac-address-table static <dirección

MAC> vlan {1-4096, ALL} interface id de la interfaz.

o Para eliminarla: no mac-address-table static <dirección MAC> vlan {1-4096,

ALL} interface id de la interfaz.

• Comandos show:

o show interfaces [id de la interfaz]

o show startup-config
o show running-config
o show flash:
o show versión
o show history
o show ip {interface | http | arp}
o show mac-address-table

• Configuraciones de respaldo switch:

o S1 # copy system:running-config flash:startup-config (Versión formal)

o S1 # copy running-config startup-config (Versión informal).
o S1 # copy startup-config flash:config.bak1

• Configuración de restauración del switch:

o S1 # copy flash:config.back1 startup-config

o S1 # reload (Permite que IOS de Cisco ejecute el reinicio del switch)

• Copia de respaldo de los archivos de configuración en un servidor TFTP.

o S1 # copy system:running-config tftp://172.16.52.155/Tokyo-config

• Eliminación de los archivos de configuración: S1 # erase nvram

• Configuración del acceso a la consola:

o S1 # configure terminal
o S1 (config) # line con 0
o S1 (config-line) # password cisco (establece cisco como contraseña consola 0)
o S1 (config-line) # login (establece que se pida login antes de conceder el
acceso)
CCNA3 – Conmutación y conexión inalámbrica de LAN

o S1 (config-line) # end

• Configurar el acceso de la terminal virtual.

o S1 # configure terminal
o S1 (config) # line vty 0 4
o S1 (config-line) # password cisco
o S1 (config-line) # login
o S1 (confg-line) # end

• Configuración de las contraseñas para el modo EXEC:

o S1 # configure terminal
o S1 (config) # enable password contraseña (La contraseña se almacena en
modo texto).
o S1 (config) # enable secret contraseña (La contraseña se almacena en modo
encriptado).
o S1 (config) # end

• Configuración de contraseñas encriptadas: Cuando se configuran contraseñas en la CLI

del IOS de Cisco, todas ellas, excepto la contraseña secreta de enable, se almacenan
de manera predeterminada en formato de texto sin cifrar. Para encriptarlas:

o S1 # config terminal
o S1 (config) #service password-encryption
o S1 (config) # end

Verificamos con:
o S1 # how running-config

Nota: Este es un modo de encriptación débil (nivel 7). Para que sea fuerte
(nivel 5) debemos encriptar las contraseñas una a una cuando se crean.

• Recuperación de la contraseña de enable (un follón)

o flash_init, load_helper, boot

• Configurar un título de inicio de sesión:

o S1 # configure terminal
o S1 (config) # banner login “Authorized Personnel Only!”

• Configurar un título MOTD:

o S1 # configure terminal
CCNA3 – Conmutación y conexión inalámbrica de LAN

o S1 (config) # banner motd “Device maintenance will be occurring on

Friday!”

• Telnet:
o Método de acceso más común
o Envía Corrientes de mensaje de texto claras.
o No es seguro.
o Se habilita como (si se había deshabilitado por ejemplo, para usar solo SSH):

 S1 (config-line) # transport input telnet

• SSH:
o Debería ser el método de acceso común
o Envía corrientes de mensajes encriptados.
o Es seguro.
o Preparación previa para configuración de servidor SSH:
 Ingresamos al modo global con configure terminal
 Configuramos nombre de host con hostname nombre_del_host
 Configuramos un dominio del host para el switch con ip domain-
name nombre_dominio
 Habilitamos servidor SSH para autenticación remota y generamos un
par de claves con crtypto key generate rsa (cuando lo pida se
recomienda long. módulo de 1024 bits).
 Regresamos al modo EXEC con el comando end
 Mostramos el estado del servidor con show ip ssh 0 show ssh

o Configuración de un servidor SSH:

 Ingresamos al modo global con configure terminal

 (Opcional) utilizar SSHv1 ó SSHv2 con ip ssh versión [1 | 2]
 Configuración de parámetros de control de SSH:

1. Especificar tiempo de espera terminado en segundos y el nº veces

un cliente puede volver a autenticarse al servidor. Ambos
parámetros se configuran como ssh {timeout segundos |
authentication-retries número}

2. Regreso al modo EXEC privilegiado mediante end

3. Muestre el estado conexiones SSH: show ip ssh 0 show ssh

4. (Opcional) Guarde las entradas en el archivo de configuración con

copy running-config startup-config

5. Para evitar conexiones que no sean SSH (por ejemplo de Telnet):

transport input SSH.
CCNA3 – Conmutación y conexión inalámbrica de LAN

• Ataques de seguridad comunes.

o Saturación de direcciones MAC.

o Suplantación de identidad:

 Ataque de intermediario: El atacante se hace pasar por DHCP

Server y si se encuentra en el mismo sector de red que el cliente, se
hará con el control de la situación y le llegará la configuración de DHCP,
DNS, etc. antes que la del DHCP Server real. Si encima el atacante hace
de Gateway, pasará por él todo el tráfico del cliente engañado.

 Ataque de inanición: El atacante solicita direcciones IP y arrenda

todos las IP’s DHCP del servidor por lo que los otros clientes no logran
obtener ninguna dirección.

 Solución: Snooping DHCP: El snooping DHCP es una función que

determina cuáles son los puertos de switch que pueden responder a
solicitudes de DHCP

1. Lo habilitamos con ip dhcp snooping.

2. Lo habilitamos para las VLAN específicas con dhcp snooping vlan
number [numero]
3. Definimos los puertos confiables mediante: ip dhcp snooping
trust.
4. (Opcional) Limitamos la tasa a la que un atacante puede enviar
solicitudes de DHCP de manera continua a través de puertos no
confiables mediante ip dhcp snooping limit rate velocidad.
CCNA3 – Conmutación y conexión inalámbrica de LAN

o Ataques en CDP (Cisco Discovery Protocol): Protocolo que permite descubrir

otros dispositivos de Cisco conectados directamente. Los mensajes CDP no
están encriptados. Se envía en broadcast periódicos, es protocolo capa 2  no
se propaga por los routers. Para evitar esta vulnerabilidad se recomienda
deshabilitar el CDP en los dispositivos que no necesitan utilizarlo.

o Ataques de Telnet. Existen herramientas disponibles que permiten que un

atacante inicie un ataque de decodificación de contraseñas de fuerza bruta
contra las líneas vty del switch.

 Ataque de contraseña de fuerza bruta.

 Ataque de DoS: Explota alguna vulnerabilidad de Telnet y lo inutiliza.

• Herramientas de seguridad:

o Auditorias de red: Ayudan a:

 Revelar qué tipo de información puede recopilar un atacante mediante un

simple monitoreo del tráfico de la red.
 Determinar la cantidad ideal de direcciones MAC falsas que deben
eliminarse.
 Determinar el período de expiración de la tabla de direcciones MAC.

o Las pruebas de penetración de red ayudan a:

 Identificar debilidades dentro de la configuración de los dispositivos de

red.
 Iniciar varios ataques para probar la red.
 Precaución: Planifique pruebas de penetración para evitar el impacto en
el rendimiento de la red.

o Características de las herramientas de seguridad de red:

 Identificación de servicio.
 Soporte servicios SSL.
 Pruebas destructivas y no destructivas.
 Base de datos de vulnerabilidades.

o Se pueden utilizar las herramientas de seguridad de red para:

 Capturar mensajes de chat.

 Capturar archivos de tráfico NFS.
 Capturar solicitudes de HTTP en Formato de registro común.
 Capturar contraseñas
 Mostrar URL capturadas del explorador en tiempo real.
 Interceptar paquetes en una LAN conmutada.
CCNA3 – Conmutación y conexión inalámbrica de LAN

o Configuración de la seguridad de puerto. Se implementa seguridad en todos

los puertos de switch para:

 Especificar un grupo de direcciones MAC válidas permitidas en el

puerto
 Permitir que sólo una dirección MAC acceda al puerto.
 Especificar que el puerto se desactiva de manera automática si se
detectan direcciones MAC no autorizadas.

o Tipos de direcciones MAC seguras:

 Estáticas: switchport port-security mac-address dirección MAC

 Seguras dinámicas: Las direcciones MAC se aprenden de manera

dinámica y se almacenan sólo en la tabla de direcciones. Las direcciones
MAC configuradas de esta manera se eliminan cuando el switch se
reinicia.

 Seguras sin modificación. Se puede configurar un puerto para que

aprenda de manera dinámica las direcciones MAC y luego guardarlas en la
configuración en ejecución. Se pierden cuando el switch se reinicia salvo
que se guarden en el archivo de configuración de inicio.

o Modos de violación de seguridad:

 Protección. Cuando el puerto se llena de MACs comienza a descartar
paquetes con direcciones desconocidas y el cliente no se entera.
 Restricción: Como Protección pero el cliente sí que se entera.
 Desactivación: Se desactiva el puerto.

o Verificar seguridad del puerto: switch # show port-security interface

fastEthernet 0/18

• Verificar las direcciones MAC seguras: # show port-security address